هشدار ویندوز 10: Trojan Trickbot می تواند Windows Defender را غیرفعال کند
trickbot یک تهدید جدید و خطرناک برای کاربران ویندوز 10 است این تروجان نه تنها اجازه فرار از خودش را به کاربران ویندوز نمی دهد بلکه مرکز امنیت ویندوز windows definder را از کار می اندازد.
طبق گزارش Forbes در 14 ژوئیه Trickbot یک تروجان بانکی مخفی ویژه است که از سال 2016 تاکنون وجود داشته است. از آن زمان تصور می شد که در تلاش برای توزیع بدافزار هاست ولی بیشتر از 250 میلیون حساب ایمیل به خطر افتاد و باعث سرقت اعتبار بانکی آنلاین و کیف پول های رمزنگاری شده
شد. مایکروسافت همیشه در برابر این تروجان دست پیشی داشته است. به عنوان مثال مسلح کردن فایل های اکسل و ورد به ضد تروجان، جدید ترین رویکرد trickbot هدف قرار دادن کاربران ویندوز با ایجاد یک صفحه کاملا مشابه صفحه اصلی و قانونی ولی به صورت جعلی بوده است و به هدف خود رسید که این شامل نصب
تروجان از طریق آپدیت کاملا شبیه به آپدیت رسمی office 365 است. که آپدیتی مبنی بر آپدیت کردن مرورگر office 365 نمایش داده می شود و این آپدیت فقط تروجان را بر روی ویندوز کاربر هدف نصب می کند .
غیرفعال کردن Windows Defender
اما چیزی که trickbot را خطرناک ترین تروجان حال حاضر نشان می دهد این است که چگونه آن دسته از کاربران ویندوز 10 را که به ویندوز مدافع تکیه می کنند تا ماشین های خود را از تهدیدات بدافزار محافظت کنند، هدف قرار می دهد. یا حداقل یکی از پیچیده ترین بد افزارها در طول این سالها بوده است
که یک راه مشترک را که بهرگیری از روش های مختلفی برای جلوگیری از شناسایی توسط نرم افزار امنیتی برای جلوگیری از خنثی سازی است که به طور کل نرم افزار امنیتی را از کار می اندازد بوده است.
tricckbot یک بد افزار انعطاف پذیر است به شکلی که نه تنها windows defender آن را شناسایی نمی کند بلکه فقط در 17 مرحله windows defender را غیرفعال می کند.
موسسه معتبر Bleeping Computer گزارش می دهد که پس از اجرا ، Trickbot سعی دارد سرویس WinDefend را غیرفعال و حذف کند همچنین فرآیندهای مرتبط با Windows Defender را خاتمه دهد و غیرفعال کردن Windows Defender در زمان کمی انجام می دهد و حتی اعلان های امنیتی اضافه
را هم غیرفعال می کند.
گزارش Bleeping Computer نشان می دهد كه محققان MalwareHunterTeam و Vitali Kremez یک نوع Trickbot تازه را کشف و به روش مهندسی معكوس دریافته اند كه یك روش دیگر نیز به روش های حمله اضافه كرده است. در این روشها از تنظیمات رجیستری یا فرمان Set-MpPreference
PowerShell برای تنظیم و غیر فعال سازی تنظیمات برگزیده Windows Defender استفاده می کنند.
روش های مقابله
جان اوپدناکر ، یک هکر اخلاقی ، می گوید که بهترین روش های کلی از قبیل مسدود کردن دسترسی به رجیستری ویندوز و اطمینان از عدم دسترسی کاربران به طور پیش فرض به سرپرستی ها توصیه های خوبی برای کاهش می دهد.
روش دیگر نرم اقزار applocker است که به صورت پیشفرض در ویندوز 10 گنجانده شده است ولی کمتر کسی از وجود آن مطلع است،
مطابق مستندات رسمی مایکروسافت ، "AppLocker به شما کمک می کند کنترل کنید که برنامه ها و پرونده های چه کاربران می توانند اجرا شوند. اینها شامل پرونده های اجرایی ، اسکریپت ها ، پرونده های Windows Installer ، کتابخانه های دارای لینک پویا (DLL ها) ، برنامه های بسته بندی شده و نصب برنامه
های بسته بندی شده است.